O пакетном фильтре (PF) написано довольно много статей. Вот и я хочу предложить
свою реализацию Интернет-шлюза с
использованием  PF. Раздача Интернета для локальной сети происходит через NAT и
основана на Packet Tagging. Плюсом этого
метода является то что упрощается настройка правил для FTP (ftp-proxy не
используется), как для клиентов за шлюзом, так и для
возможной публикации "внутреннего" ftp-сервера в мир.

Для простоты приведу пример с 1 внешним и 1 внутренним интерфейсом. На шлюзе
также запущен DNS-сервер. Пользователям
локальной сети разрешен доступ на все порты без исключений по протоколам TCP,
UDP, из ICMP разрешен только ping. В качестве
ОС выступает FreeBSD7.0

Для начала определим интерфейсы с помощью макросов

   ext_if="rl0"
   int_if="sk1"

   dns="ААА.ААА.ААА.ААА"
   lan="192.168.1.0/24"

   table <no_if> {BBB.BBB.BBB.BBB, 192.168.1.1, 127.0.0.1} persist

   set skip on lo
   set loginterface rl0
   set ruleset-optimization basic
   set block-policy return
   scrub in all no-df random-id

   ##### INET FOR LAN

   nat on $ext_if tag LAN_INET_NAT_TCP_UDP tagged LAN_INET_TCP_UDP -> $ext_if:0
   nat on $ext_if tag LAN_INET_NAT_ICMP tagged LAN_INET_ICMP -> $ext_if:0

   ######

   block in
   block out
   antispoof quick for { lo $int_if }

   ##############       EXT_IF_OUT

   pass out quick on $ext_if inet tagged LAN_INET_NAT_TCP_UDP
   pass out quick on $ext_if inet tagged LAN_INET_NAT_ICMP
   
   pass out quick on $ext_if inet proto {tcp udp} from $ext_if to $dns port = dns

   pass out quick on $ext_if inet proto icmp from $ext_if to any icmp-type echoreq

   ##############         EXT_IF_IN

   pass in quick on $ext_if inet proto tcp from any to $ext_if port = ssh synproxy state (max 10)
   pass in quick on $ext_if inet proto icmp from any to $ext_if icmp-type echoreq

   ##############   INT_IF_IN

   pass in quick on $int_if inet proto {tcp udp} from $lan to !<no_if> tag LAN_INET_TCP_UDP
   pass in quick on $int_if inet from $lan to $int_if

   pass in quick on $int_if inet proto icmp from $lan to !<no_if>  icmp-type echoreq tag LAN_INET_ICMP
   pass in quick on $int_if inet proto icmp from $lan to $int_if icmp-type echoreq



Пояснения.

Пришедшие на внутр. интерфейс пакеты "метятся". Метятся только те пакеты, у
которых dst addr любой, кроме всех внутренних и
внешних интерфейсов. Это необходимо, если есть несколько подсетей и вы не
хотите, что бы кто-либо из одной сети мог
подключится к висящему сервису на другом интерфейсе.

Впринципе здесь можно  вместо  !<no_if> указать any.
Весь исходящий трафик с сервера в "мир" (кроме ДНС) и локальную сеть блокируется.

ААА.ААА.ААА.ААА - IP DNS-сервера провайдера.